记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

【极思】IAM身份和访问管理研究

2020-09-16 00:08


 近段时间学习研究的零信任三篇,可以点话题查看。零信任暂告一个段落。再尝试回到一下搞笑风格,学习要愉快的学习。护网红蓝双方的兄弟们,说到底都是国内的安全有生力量,照顾好身体。



目录

一、背景研究。二、研究目标。 三、IAM 方案研究。 四、实践研究。


一、背景研究

一)身份是什么

身份是什么?人出生之时,便有了身份。身份是一切的基础,宫斗剧里经常阴阳怪气的说你是什么身份?。而身份的替代物叫信物,在现实世界中可以是调兵凭证「虎符」,也可以是钥匙。在虚拟世界中,可以是账号+密码,也可以是证书,甚至可能是一条ACL。附在”信物”之上的是权力,你有什么权力,有什么信物就能有什么权力。



实现手法上都是以信物获取权限。不管是武侠小说的玉佩一分为二,还是家用的 lock + key,亦或是系统中的 user + password ,都是身份认证方法的一种。

关于对身份的攻击,古人早已在千年前就已玩的滚瓜烂熟,身份冒用攻击的有「假传圣旨」,还有「狸猫换太子」。身份劫持攻击的有「挟天子以令诸侯」,基本上历朝历代都有发生。身边的还有咱妈说让你拖地,领导说这个活让你干。现实如此,互联网亦如此。

二)IAM 前世今生

IAM 的前身是什么?令人想不到的竟然是「ACL」,天啊奇怪的知识又增加了。当时是为了解决应用系统谁都能访问的问题,比如FTP的匿名访问。就是匿名共享时设置文件的读写权限,对就是这么的简单。



IAM 诞生于2000年左右,用于解决申请授权与除权的工作(ACL)量非常大、非常复杂的问题。可以粗暴的理解为动态的ACL,以前是小明的IP可以访问XX服务,现在是小明的账号+密码可以访问XX服务。



2004年左右,IBM,Oracle,CA收购规模较小的公司对 IAM 进行增强, 加入角色的概念,简化用户管理工作。同时系统越来越多,账号越来越多,开始催生出单点登陆(SSO)需求。

2010年左右 ,IDAAS 概念产生,集中式的 IAM 市场前景非常好。统一用户/角色管理,单点登陆,在当时只能用「真香」才能代表。同时针对账号密码的攻击出现了,导致数据泄露、身份冒用等等问题。

2016年左右 ,双因素认证(2FA)被用来解决针对账号的攻击。后来出现了OTP、短信、USBKey等等。再后来双因素也有被破解的情况时,促生了多因素认证MFA,生物身份(指纹、虹膜、人脸)认证。

今天,2FA,MFA,OTP已经是常态,当前关注的新技术也有。
IAM统一集成 Active Directory(AD / AZAD)、LDAP、IDAAS、应用系统。
实现连续认证,在授权后不断对其进行身份验证和验证。单一登录和联合认证,利用SSO降低账户管理的复杂度,利用自动的多因素联合认证,提升用户体验。云环境身份管理的复杂性,因动态伸缩短暂存在的实体。AI 的发展让认证更加多元和深入,也让身份访问管理拥有了更多的可能性。当下 Okta、Onelogin、Centrify 等供应商都在从头开始构建纯正的IDAAS。


二、研究目标

全流程身份管理,统一管理身份从创建到删除的过程,同时统一管理身份权限。实现用户身份风险的动态管理,权限的动态调整。

一)安全场景

零信任架构的基础,强大的统一身份管理和权限管理能力是基础。
账号安全管理的利器,统一账号管理,解决默认账号、遗留账号、违建账号等,被入侵时可一键禁用。统一密码策略解决弱口令问题。统一权限管理,实现权限最小化,解决各系统权限不合理,无法同步等问题。统一实现多因素认证,解决账号安全水平不一致、暴力破解、账号盗用等问题。


提升合规审计工作效率,节省人力成本。解决安全风险,权限过大滥用、身份盗用、非授权访问。

二)运维场景

账号密码集中管理,提高账号管理效率。账号的创建、删除、变更等场景。应用系统集中管理,统一身份和认证能力水平,节省开发成本。多用户名多密码-记录在小本本里,统一认证能力弱。

三)办公场景

员工可随时随地安全的接入工作环境,提升远程办公的支撑能力,远程办公效率、员工接入体验。简化多应用、多系统的访问过程,提升员工效率和操作体验。统一供应商身份和账号管理,统一访客身份和设备身份管理。


三、IAM 方案研究

一)身份和访问管理流程图

基于身份生命周期识别业务+

二)IAM 核心能力

三)IAM工作流程的逻辑视图

四)IAM的架构流程

五)主要模块和能力

六)避坑指南

与主要利益相关者统一目标,CISO、业务负责人、人力等干系团队。兼容现有身份管理系统。利用业务+安全驱动。敏捷模式小步快跑推进。尽量使用开放标准。尽量减少定制功能。




四、实践研究

一)最佳实践

参考如下链接内容,很详细。https://hitachi-id.com/documents/best-practices-for-identity-and-access-management.php

二)支持集中管理身份

支持的账号管理系统。Active Directory(AD / AZAD),SSO,PAM,IDAAS,LDAP,其它类似标准的任何目录兼容。

三)支持集成应用和系统

支持的操作系统,Windows, Unix, Linux,Mac,VMware。支持的数据库,Oracle、mssql、mysql、db2、sybase、大数据平台组件。支持的应用系统,邮件、门户、HR、财务、会议。支持的设备,安全设备、网络设备、办公设备。云应用程序集成、内部应用程序、自动化的应用程序。


四)支持多因素

可支持 PIN、9点图、OTP、USB KEY、证书、短信、指纹、人脸、虹膜、语音、图片等多因素方式。


五、参考资料

  • https://hitachi-id.com/documents/best-practices-for-identity-and-access-management.php

  • https://www.innominds.com/blog/open-source-tools-for-identity-and-access-management

  • https://www.imperva.com/learn/data-security/iam-identity-and-access-management/




End



《安全攻防研究和实践》

成员300+仅能邀请加入  加群请后台留言



# 近期预告

【安全】DevSecOps 设计和实践(近期推出)

【极思】自生长思维架构:伟人与普通人、大牛与小白他们之间的差别是什么?

【企业安全建设】数据安全方案思考与设计【2/2】

# 往期文章

【极思】安全从业成长总结(2017-2019)

【安全】安全管理痛点解决实践

【极思】零信任之微隔离预研

【极思】容器(Docker)安全研究

【极思】WMIC 攻防研究

【安全】用户实体行为分析研究(UEBA )

【安全】PRE-ATT&CK:侦查阶段对抗设计和实践



知识来源: https://mp.weixin.qq.com/s?__biz=MzI2NTMwNjYyMA==&mid=2247484437&idx=1&sn=5c7f6f006a3fff6ae6872b0d99f913ef

阅读:7208 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“【极思】IAM身份和访问管理研究”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云